BIG-IP Configuration Utility

Die Schwachstelle steckt im Configuration Utility, der webbasierten Verwaltungsoberfläche des F5 BIG-IP. Durch speziell gestaltete Anfragen lässt sich die Authentifizierung dieser Oberfläche umgehen: Statt sich anzumelden, nutzt der Angreifer einen alternativen Zugriffsweg, der die Anmeldeprüfung schlicht aushebelt. Gelingt das, kann ein nicht angemeldeter Angreifer beliebige Systembefehle auf dem Gerät ausführen und so die Kontrolle übernehmen. Voraussetzung ist Netzwerkzugriff auf das BIG-IP-System – entweder über den Verwaltungsport (Management-Port) oder über die sogenannten Self-IP-Adressen, also die für den Datenverkehr konfigurierten Schnittstellen des Geräts. Wo diese Zugänge erreichbar sind, steht der Angriffsweg offen, ganz ohne gültige Zugangsdaten. Da BIG-IP-Systeme zentrale Aufgaben wie Lastverteilung und Zugriffssteuerung übernehmen, wiegt eine vollständige Übernahme besonders schwer. Software, die das Ende des technischen Supports erreicht hat, ist von der Bewertung ausgenommen.